Em uma aplicação web, a qual não possui uma versão móvel, como que faz pra cumprir esse requisito de recuperação por um canal seguro? O padrão que vejo por aí é realmente um email com código ou link e acho que funciona bem. De fato, usar um push notification é mais seguro, porém em um caso desses onde há somente o website, como que faz? Não vai ter pra onde mandar o push...
